安全计算机内网基础

发布时间：2022-10-24 21:31:20 所属栏目：安全来源：转载

导读： 内网基础工作组介绍1、工作组的介绍
在一个大型单位里,可能有成百上千台计算机互相连接组成局域网,它们都会列在”网络”(网上邻居) 内。如果不对这些计算机进行分组,网络的混乱程度是可想而

内网基础工作组介绍1、工作组的介绍

在一个大型单位里,可能有成百上千台计算机互相连接组成局域网,它们都会列在”网络”(网上邻居) 内。如果不对这些计算机进行分组,网络的混乱程度是可想而知的为了解决这一问题,产生了工作组(Work Group)这个概念。将不同的计算机按功能(或部门)分别列入不同的工作组,例如技术部的计算机都列入”技术部”工作组、行政部的计算机都列入”行政部”工作组。要想访问某个部门的资源,只要在”网络”里双击该部门的工作组名就可以看到该部门的所有计算机了。相比不分组的情况,这样的情况有序得多(尤其对大型局域网来说)。

工作组如图

1665151095738

2、加入工作组

加入工作组:加入工作组的方法很简单。右击桌面上的”计算机”图标,在弹出的快捷菜单中选择”属性” 选项,然后依次单击”更改设置”和”更改”按钮,在”计算机名”输入框中输入计算机的名称,在”工作组”输入框中输入想要加入的工作组的名称

1665151115905

3、创建工作组

创建工作组:如果输入的工作组的名称在网络中不存在,就相当于新建了一个工作组(当然,暂时只有当前这台计算机在该工作组内)。单击”确定”按钮, Windows会提示需要重新启动。在重新启动之后进入”网络”,就可以看到所加入的工作组的成员了。当然,也可以退出工作组(只要修改工作组的名称即可)

4、退出工作组

只要将工作组名称改动即可。不过在网上别人照样可以访问你的共享资源。你也可以随便加入同一网络上的任何其它工作组。“工作组”就像一个可以自由进入和退出的“社团”，方便同一组的计算机互相访问。

5、访问工作组

文件–>网络安全计算机，就可以查看到我们工作组中的其他计算机了，当你要访问某台计算机时，点击它，然后输入该主机的用户名和密码即可看到该主机共享的文件夹。

6、工作组优缺点

优点：

1、方便管理和维护

2、资源分配方便和灵活

缺点：

1、缺乏集中管理与控制的机制

2、没有集中的统一帐户管理

3、只适合小规模用户的使用

域介绍域的介绍

Windows域是计算机网络的一种形式，其中所有用户帐户，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。身份验证在域控制器上进

行。在域中使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该帐户分配对该域内资源的访问权限。

域 ( Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个域中,一个域中的用户无法访问另一个域中的资源)可以简单地把域理解成升级版的工作组。与工作组相比,域的安全管理控制机制更加严格。用户要想访问域内的资源,必须以合法的身份登录域,而用户对域内的资源拥有什么样的权限,还取决于用户在域内的身份。

域控制器( Domain Controller,DC)是域中的一台类似管理服务器的计算机

域控制器中存在由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当计算机连接到域时,域控制器首先要鉴别这台计算机是否属于这个域,以及用户使用的登录账号是否存在、密码是否正确。如果以上信息有一项不正确,域控制器就会拒绝这个用户通过这台计算机登录。如果用户不能登录,就不能访问服务器中的资源。

域控制器是整个域的通信枢纽,所有的权限身份验证都在域控制器上进行,也就是说,域内所有用来验证身份的账号和密码散列值都保存在域控制器中

单域

通常,在一个地理位置固定的小公司里,建立一个域就可以满足需求。在一个域内,一般要有至少两台域服务器,一台作为DC,另一台作为备份DC。

父域和子域

出于管理及其他需求,需要在网络中划分多个域。第一个域称为父域,各分部的域称为该域的子域。例如大公司的各个分公司位于不同的地点,就需要使用父域及子域。如果把不同地点的分公司放在同一个域内,那么它们之间在信息交互(包括同步、复制等)上花费的时间就会比较长,占用的带宽也会比较大(在同一个域内,信息交互的条目是很多的,而且不会压缩; 在不同的域之间,信息交互的条日相对较少, 而且可以压缩)。这样处理有一个好处,就是分公司可以通过自己的域来管理自己的资源。还有一种情况是出于安全策略的考虑(每个域都有自己的安全策略)例如,一个公司的财务部希望使用特定的安全策略(包括账号密码策略等)、那么可以将财务部作为一个子域来单独管理

域树

域树(Tree)是多个域通过建立信任关系组成的集合。一个域管理员只能管理本域,不能访问或者管理其他域。如果两个域之间需要互相访问,则需要建立信任关系，信任关系是连接不同域的桥梁。域树内的父域与子域,不但可以按照需要互相管理、还可以跨网络分配文件和打印机等设备及资源,从而在不同的域之间实现网络资源的共享与管理、通信及数据传输。

在一个域树中,父域可以包含多个子域。子域是相对父域来说的,指的是域名中的每一个段。各子域之间用点号隔开,一个”.”代表一个层次。放在域名最后的子域称为最高级子域或一级域,它前面的子域称为二级域

1665151240866

域森林

域森林( Forest)是指多个域树通过建立信任关系组成的集合。例如,在一个公司兼并场景中某公司使用域树 abc. com,被兼并的公司本来有自己的域树 abc. net,域树abc.net无法挂在域树abc.com下。所以,域树abc.com与域树 abc. net之间需要通过建立信任关系来构成域森林。通过域树之间的信任关系,可以管理和使用整个域森林中的资源,并保留被兼并公司自身原有的特性,如图1-4所示。

域名服务器

域名服务器( Domain Name Server,DNs)是指用于实现域名( Domain Name)和与之相对的IP地址( IP Address)转换的服务器。从对域树的介绍中可以看出,域树中的域名和DNS域名非常相似。而实际上,因为域中的计算机是使用DNS来定位域控制器、服务器及其他计算机、网络服务的,所以域的名字就是DNS域的名字。在内网渗透测试中,大都是通过寻找DNS服务器来确定域控制器的位置的(DNS 服务器和域控制器通常配置在同一机器上)

搭建域环境

在学习内网渗透测试时,需要构建一个内网环境并搭建攻击主机,通过具体操作理解漏洞的工作原理,从而采取相应的防范措施。一个完整的内网环境,需要各种应用程序、操作系统和网络设备,可能比较复杂。我们只需要搭建其中的核心部分,也就是Linux服务器和 Windows服务器。在本节中,将详细讲解如何在 Windows平台上搭建域环境

域环境介绍

通常所说的内网渗透测试,很大程度上就是域渗透测试。搭建域渗透测试环境,在 Windows的活动目录环境下进行一系列操作,掌握其操作方法和运行机制,对内网的安全维护有很大的帮助。常见的域环境是使用 Windows server2012R2、Windows7或者 Windows Server2003操作系统搭建的 Windows域环境。

在下面的实验中,将创建一个域环境。配置一台 WindowsServer2012R2服务器,将其升级为域控制器,然后将 Windows Server2008R2计算机和 Windows7、Windows Server2003计算机加入该域。四台机器

机器名称机器ip

WindowsServer 2012 R2（域控)

192.168.41.10

WindowsServer 2008 R2（域内主机）

192.168.41.20

WindowsServer 2003 R2（域内主机)

192.168.41.30

搭建环境

1、设置服务器

在虚拟机中安装 Windowsserver2012R2操作系统,设置其P地址为192.168.41.10子网掩码为 255252550,DNS指向本机IP地址。

1665151929222

2、更改计算机名

使用本地管理员账户登录,将计算机名改为”DC”(可以随意取名),如图所示。在将本机升级为域控制器后,机器全名会自动变成”DC.xxx.com”。更改后,需要重启服务器

3、安装域控制器和DNS服务

接下来,在 Windows server2012R2服务器上安装域控制器和DNS服务。登录 WindowsServer2012R2服务器,可以看到”服务器管理器”窗口,如图所示

单击【添加角色和功能】选项,进入添加角色和功能向导界面。在【开始之前】部分, 本保持默认设置。单击下一步按钮,进入【安装类型】部分,选择基于角色或者基于功能的安装选项。单击下一步按钮,进入【服务器选择】部分。目前,在服务器池中只有当前这台机器,保持默认设置。单击下一步按钮,在【服务器角色】部分勾选【 Active Directory域服务】和【DNS服务器】复选框

在”功能”界面保持默认设置,单击”下一步”按钮,进人”确认”部分。确认需要安装的组件,勾选”如果需要,自动重新启动目标服务器”复选框,,然后单击”安装” 按钮

4、升级服务器

安装 Active Directory域服务后,需要将此服务器提升为域控制器。单击”将此服务器提升为域控制器”选项(如果不慎单击了”关闭”按钮,可以打开”服务器管理器”界面进行操作),在界面右上角可以看到一个中间有”!”的三角形按钮。单击该按钮,如图所示。

接着,进人” ActiveDirectory域服务配置向导”界面,在”部署配置”部分单击选中”添加新林(F)”单选按钮,然后输入根域名”hack.com”(必须使用合DNS命名约定的根域名)

在【域控制器选项】部分,将林功能级别、域功能级别都设置为” WindowsServer2012R2”,创建域林时,在默认情况下应选择DNS服务器,林中的第一个域控制器必须是全局目录服务器且不能是只读域控制器(RODC)。然后,设置目录服务还原模式的密码(在开机进入安全模式修复活动目录数据库时将使用此密码)

在【DNS选项】部分会出现关于DNS的警告。不用理会该警告,保持默认设置。单击”下一步”按钮,进入”其他选项”部分。在”NetBIOS域名”(不支持DNS域名的旧版本操作系统,例如Windows98、NT,需要通过NetBIOs域名进行通信)部分保持默认设置。单击”下一步”按钮,进人”路径”部分,指定数据库、日志、SYSVOL文件夹的位置,其他选项保持默认设置。单击”下一步”按钮,保持默认设置。单击”下一步”按钮,最后单击”安装按钮。安装后,需要重新启动服务器，最后升级为域控

服务器重新启动后,需要使用域管理员账户( HACKE Administrator)登录。此时,在”服务器管理器”界

面中就可以看到ADDS、DNS服务了

5、创建 Active Directory用户

为 Windows Server2008R2/2003和Windows7用户创建域控制器账户。如图1-26所示,在” Active Directory用户和计算机”界面中选择Users”目录并单击右键,使用弹出的快捷菜单添加用户。

创建用户

将机器加入域

将Windows server 2008 计算机添加到该域中。如图所示,设置IP地址为192.168.41.20,设置DNS 地址为192.168.41.10,然后运行” ping hack.com”命令进行测试。

ping 域控

接下来,将主机添加到域中,将计算机名改为”PC-2008”域名改为”hack.com”。单击”确定”按钮,会弹出要求输入拥有权限的域账户名和密码的对话框。在

本实验中,输人域管理员的账号和密码,如图所示。操作完成后,会出现需要重新启动计算机的提示。

活动目录( Active Directory,AD)是指域环境中提供目录服务的组件

目录用于存储有关网络对象(例如用户、组、计算机、共享资源、打印机和联系人等)的信息。目录服务是指帮助用户快速、准确地从目录中找到其所需要的信息的服务。活动目录实现了目录服务,为企业提供了网络环境的集中式管理机制

活动目录的逻辑结构包括前面讲过的组织单元(OU)、域、域树、域森林。域树内的所有域共享一个活动目录,这个活动目录内的数据分散存储在各个域中,且每个域只存储该域内的数据。

活动目录主要提供以下功能

组织单元介绍

组织单元（OU）是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源，是一个容器，可以在OU上部署组策略

组织单元是域中包含的一类目录对象如用户、计算机和组、文件与打印机等资源。是一个容器。组织单元还具有分层结构可用来建立域的分层结构模型，进而可使用户把网络所需的域的数量减至最小.

现在有以下的需求，一个公司，人员需求如下

部门人数

财务部门

20人

人事部门

IT部门

100

网络管理员

创建组织单元

添加人员

在创建的组织单元里新建用户

委派控制

因为财务部门有20个人，不能有问题就去找网络管理员，需要委派控制权限给财务部门一个代表，让他去执行，也就是说在财务部门找一个代表，他由相应的权限去管理财务部门的计算机和用户

域内权限组

组( Group)是用户账号的集合。通过向组分配权限,就可以不必向每个用户分别分配权限。例如,管理员在日常工作中,不必为单个用户账号设置独特的访问权限,只需要将用户账放到相应的安全组中。管理员通过配置安全组访问权限,就可以为所有加入安全组的用户账号配置同样的权限。使用安全组而不是单个的用户账号,可以大大简化网络的维护和管理工作

域本地组

域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组，在本域范围内可用。

全局组

全局组成员来自于同一域的用户账户和全局组，在林范围内可用

通用组

通用组成员来自林中任何域中的用户账户、全局组和其他的通用组，在全林范围内可用可以这样简单地记忆:

域本地组来自全林,作用于本域; 全局组来自本域,作用于全林; 通用组来自林,作用于全林。案例一：

有一个打印机连接域控，设置域本地组赋予使用打印机的权限，然后设置全局组，将人员都加入到全局组，然后将全局组加入到域本地组就可以了

案例二

有三个域hack.com(在北京)，sh.hack.com(在上海)，gz.hack.com(在广州)组成W林，然后北京财务部门，需要进行结算，但是数据在北京的一台服务器上权限比较高只有北京财务人员可以使用，同时因为北京人数不够，需要上海和广州支援，这个时候怎么办？

1、只需要在北京的建立一个域本地组，然后赋予域本地组权限可以访问财务的数据机器

2、在上海和广州分别建立全局组

3、在北京的域控上将上海和广州的全局组加入进来

A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限

按照AG-DL-P策略对用户进行组织和管理是非常容易的。在AGDL-P策略形成以后,当需要给一个用户添加某个权限时,只要把这个用户添加到某个本地域组中就可以了。

重要的域本地组安全域的划分

划分安全域的目的是将一组安全等级相同的计算机划入同一个网段。这个网段内的计算机拥有相同的网络边界,并在网络边界上通过部署防火墙来实现对其他安全域的网络访问控制策略，从而对允许哪些IP地址访问此域、允许此域访问哪些IP地址和网段进行设置。这些措施,将使得网络风险最小化, 当攻击发生时,可以尽可能地将威胁隔离,从而降低对域内计算机的影响。